Eingebaute Windows-SecuritySichere Sache

Digitaler Hochsicherheitstrakt

Eingebaute Windows-Security

Bei Windows XP Pro hat Microsoft einige wirksame Sicherheitsfunktionen zu Gunsten der einfachen Bedienung abgeschwächt oder standardmäßig deaktiviert. Das öffnet Angreifern selbst ohne spezielle Hacker-Werkzeuge Einfallstüren in das System.

Beispiel Benutzerrechte: Während der Installation legt Windows automatisch ein ungeschütztes Administratorkonto an und fügt die Person, die das System einrichtet, der Gruppe der Administratoren hinzu. Damit erhält jeder Nutzer, der so am Sys-tem angemeldet ist, volle Rechte. Das gilt leider auch für Viren, die in diesem Kontext aktiviert werden. Doch mit den richtigen Kniffen und einigen Tools lässt sich ein verwundbares System schnell in einen digitalen Hochsicherheitstrakt verwandeln.

Versteckte Benutzer prüfen

Eingebaute Windows-Security

Windows XP richtet bei der Installation standardmäßig vier vordefinierte Konten ein: Administrator, Gast, Hilfeassistent und Support. Die meisten Anwender merken davon aber nichts. Ein Blick in das Systemsteuerungsapplet Benutzerkonten zeigt nämlich nur zwei Einträge: Benutzer- und Gastkonto. Erst der Aufruf des Snap-ins Verwaltung/ Computerverwaltung listet im Bereich Lokale Benutzer und Gruppen alle Standardkonten und das Benutzerkonto auf. Geben Sie Benutzerkonten keine Admin-Rechte und versehen Sie unbedingt jedes Admin-Konto mit einem sicheren Passwort. Diese Sicherheitslöcher sollten Sie sofort schließen.

Und statt nach dem Start gleich von der Windows-Willkommensseite empfangen zu werden, sollten Sie den seit Windows NT bekannten Log-in-Screen nutzen, um nur Berechtigten Zugang zu gewähren.

Kontrollierte Zugänge

Eingebaute Windows-Security

In der Systemsteuerung wechseln Sie dazu auf Benutzerkonten, klicken auf Art der Benutzeranmeldung ändern, deaktivieren die Option Willkommensseite verwenden und bestätigen mit Optionen übernehmen.

Als Benutzernamen wählen Sie Administrator und bestätigen mit OK. In der Systemsteuerung wechseln Sie zu den Benutzerkonten, klicken auf Konto ändern, wählen Administrator aus, klicken auf Kennwort erstellen und weisen das Passwort zu. Im folgenden Dialog ist es ratsam, die Frage nach der Einschränkung für eigene Dateien und Ordner mit einem Klick auf Ja, nur für die eigene Verwendung zu beantworten. Das verhindert, dass Benutzer mit eingeschränkten Rechten Zugriff auf Verzeichnisse des Administrators erhalten.

Ein sicheres Passwort bedeutet nicht einfach nur lang, sondern unknackbar. Es enthält mindestens 15 Zeichen, sollte aus Groß- und Kleinbuchstaben sowie Ziffern bestehen und mindestens ein Sonderzeichen wie @, # oder $ enthalten. Je komplexer und »unsinniger«, desto besser.

Automatisch sichere Passwörter

Eingebaute Windows-Security

Bei einer Passwortänderung sollte sich das neue Kennwort deutlich vom alten unterscheiden. Tipp: Beim Generieren von sicheren Passwörtern sind auch Tools wie KeePass hilfreich. Der integrierte Passwort-Generator erstellt nach Ihren Vorgaben sichere Passwörter. Sie wählen aus, welche und wie viele Zeichen verwendet werden sollen. Auf Basis von Mausbewegungen oder Tastatureingaben wird ein Passwort einfach nach dem Zufallsprinzip erstellt. Dieses können Sie mit der Software auch verwalten

Verzicht auf Admin-Rechte

Eingebaute Windows-Security

Ist das Administratorkonto geschützt, folgt die Konfiguration des Benutzerkontos. Melden Sie sich als Administrator an und öffnen Sie das Snap-in Lokale Benutzer und Gruppen. Im Bereich Gruppen klicken Sie mit der rechten Maustaste auf Administratoren und wählen Eigenschaften. Markieren Sie im Bereich Mitglieder das Konto, das Sie aus dieser Gruppe löschen möchten, und bestätigen Sie mit einem Klick auf Entfernen.

Die gleichen Schritte führen Sie mit der Gruppe Benutzer aus, allerdings klicken Sie im Dialog Eigenschaften von Benutzer auf die Schaltfläche Hinzufügen, um dieses Konto in die Gruppe zu übernehmen.

Der Nachteil: Benutzer dieser Gruppe verfügen über weit weniger Rechte, so dass Sie bei der täglichen Arbeit mit diesem Konto des Öfteren in die Rolle des Administrators schlüpfen müssen, etwa bei der Installation neuer Software. Dazu rufen Sie die schnelle Benutzerumschaltung mit der Tastenkombination [Windows] + [L] auf.

Richtig arbeiten mit Rechten

Eingebaute Windows-Security

In der Praxis muss der Anwender ohne Admin-Rechte viele Einschränkungen in Kauf nehmen. Die Faustregel: Je tiefer eine Software in das System eingreift, desto mehr Rechte benötigt das Programm oder die Windows-Komponente.

Admin-Rechte fordern bereits das XP-eigene Defrag, die Datensicherung und Systemsteuerungapplets wie firewall.cpl, main.cpl und sysdm.cpl. Hier hilft der Befehl Ausführen als weiter. Da es bei der täglichen Arbeit aber mühsam ist, jede dieser Applikationen per Rechtsklick und Eingabe des Admin-Passworts zu starten, passen Sie die Shortcuts der Anwendungen an. Möglich macht dies der Befehl runas.

Programme als Admin betreiben

Eingebaute Windows-Security

Möchten Sie ein Programm im Admin-Modus betreiben, rechtsklicken Sie die Verknüpfung und wählen Eigenschaften. Erweitern Sie das Ziel um den Zusatz runas /user:admin, so dass der Befehl runas /user: admin “C:\Programme\Datei.exe” lautet. »admin« steht dabei stellvertretend für den Benutzernamen des Administrators. Beim nächsten Start der Applikation öffnet sich eine DOS-Box, in die Sie das Admin-Passwort eintippen. Dass die Tastatureingabe scheinbar nichts bewirkt Windows zeigt weder Sternchen an, noch bewegt sich die Einfügemarke , ist normal.

Noch einen Schritt weiter geht die Kombination aus runas und dem angehängten Parameter /savecred. Dieser Schalter weist Windows an, sich das eingetippte Admin-Passwort zu merken. Die vollständige Befehlszeile sieht so aus: runas /user:admin /savecred “C:\Programme\Datei.exe”. Die so gespeicherten Passwörter lassen sich übrigens über Benutzerkonten/Eigene Netzwerkkennwörter verwalten und jederzeit wieder rückstandsfrei löschen.

Trügerisch: Security Center

Eingebaute Windows-Security

Der Weg zum sicheren System führt auch über das Windows XP Sicherheitscenter in der Systemsteuerung. Diese Security-Schaltzentrale wacht über Windows-Updates, Desktop-Firewall und Virenscanner. Da es sich beim Sicherheitscenter aber nicht um eine Applikation, sondern um einen Service handelt, lässt sich auch der Dienst wscsvc manipulieren.

Viren können dem Service etwa vorspielen, dass aktuelle Signaturen vorhanden seien oder ihn wie die Schädlinge Troj/Bdoor-HK und W32.Spybot.NLX sogar komplett ausschalten. Kein Anwender darf sich also in trügerischer Sicherheit wiegen, bloß weil der Security-Service keine Bedrohungen meldet. Zudem mangelt es dem Sicherheitscenter an Virenscanner und Anti-Spyware. Das erfordert weiterhin externe Anwendungen.

Unsichtbare Gefahren: ADS

Eingebaute Windows-Security

Ein oft vernachlässigtes NTFS-Feature sind Alternate Data Streams, kurz ADS. Vereinfacht ausgedrückt handelt es sich dabei um eine Art erweiterte Datei-Eigenschaften, die zusammen mit einer Datei oder einem Verzeichnis gespeichert werden und beliebige Inhalte enthalten dürfen. Diese Nebendatenströme können zum Beispiel gefährliche ausführbare Dateien aufnehmen und stellen damit eine Sicherheitslücke dar.

Dass weder Windows Explorer noch dir-Befehl ADS anzeigen, macht die Datenströme zu einem potenziellen Versteck von Malicious Code. Vor allem gefährliche Rootkits finden hier ein sicheres Zuhause, da bislang nur wenige Virenscanner auf das Versteck anschlagen.

Zudem haben in einer Datei implementierte ADS keine Auswirkung auf die von Windows angezeigte Dateigröße. Sie können mit Bordmitteln also überhaupt nicht erkennen, an welcher Datei ADS haften. Darüber hinaus ist das Erzeugen alternativer Datenströme nicht durch ACLs (Access Control Lists) geregelt, so dass jeder Benutzer Dateien und Ordner um versteckte Datenströme erweitert kann.

ADS aufspüren und entfernen

Eingebaute Windows-Security

Windows XP und selbst Vista bieten keine Funktion an, um ADS sichtbar zu machen. Auf der Microsoft-Homepage steht lediglich das rudimentäre Tool ntfsext.exe zur Verfügung, mit dem Sie den Windows Explorer um ADS-Unterstützung erweitern (msdn.microsoft.com/library/default.asp?url=/library/en-us/dnfiles/html/ntfs5.asp).

In dem selbstextrahierenden Archiv befindet sich die Datei strmext.zip. Entpacken Sie die Inhalte, kopieren Sie die Datei strmext.dll aus dem Verzeichnis Release Min Dependency nach C:\Windows\System32 und registrieren Sie das File per Kommandozeilenbefehl regsvr32 StrmExt.dll. Fortan ist im Eigenschaften-Dialog des Windows Explorers die Registerkarte Streams verankert.

Um auch die Eigenschaften-Dialoge von Verzeichnissen und vor allem auch des Root-Verzeichnisses um dieses Register zu erweitern, müssen Sie zwei neue Registry-Schlüssel erzeugen:

Schlüssel 1: HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\ {C3ED1679-814B-4DA9-AB00-1CAC71F5E337}

Schlüssel 2:
HKEY_CLASSES_ROOT\Root\shellex\PropertySheetHandlers\{C3ED1679-814B-4DA9-AB00-1CAC71F5E 337}.

Anti-ADS-Tools gratis

Eingebaute Windows-Security

Komfortabler gestaltet sich die Suche nach ADS mit Tools, die komplette Partitionen scannen. Bewährt haben sich Streams 1.53,

Lads 4.0 , Crucial ADS 1.0 und ADS Locator. Die Programme finden Sie auch auf unserer Heft-CD unter dem PCP-Code: SECURITY.

Streams kann unerwünschte ADS löschen, Lads lässt sich auch im LAN nutzen. Crucial ADS und ADS Locator verfügen über eine GUI. Sind die unerwünschten Streams einmal entdeckt, geht das Entfernen einfach vonstatten. Bereits das Verschieben auf eine FAT-Partition genügt, da ADS eine NTFS-Spezialität sind. Alternativ können Sie Dateien mittels type-Befehl in ein anderes File schreiben. Auch in diesem Fall gehen alle in den ADS gespeicherten Informationen verloren:

ren config.sys old.sys
type old.sys > config.sys
del old.sys

Unsichtbare Gefahren II: Rootkits

Eingebaute Windows-Security

Auch Rootkits agieren unsichtbar und verstecken im Hintergrund laufende Prozesse vor Ihren Augen. Bei den Prozessen kann es sich um Registry-Einträge, Windows-Services und andere Dateien handeln. Gefährlich sind solche Rootkits, wenn sie missbraucht werden, um Viren-Schädlinge oder Spyware zu verstecken.

Ratsam ist es daher, sein System mit den beiden kostenlosen Rootkit-Schnüfflern Rootkit Revealer 1.70 und F-Secure Blacklight auszustatten und in regelmäßigen Abständen nach den unsichtbaren, brandgefährlichen Schädlingen zu suchen.

Verschlüsseltes Dateisystem

Eingebaute Windows-Security

Eine der wichtigsten in Windows XP Pro eingebauten Sicherheitsfunktionen ist EFS, die zuverlässige Dateiverschlüsselung von NTFS-Partitionen per Encrypting File System. Praktisch und sicher: Außer Ihnen kann niemand etwas mit den verschlüsselten Daten anfangen. Sie hingegen können die geschützten Dateien genauso öffnen und bearbeiten wie jede andere Datei auch.

Vorsicht: Mit EFS verschlüsselte Dateien sind nicht an Benutzernamen gebunden. Vielmehr generiert Windows XP beim ersten Einsatz dieser Funktion ein so genanntes Verschlüsselungszertifikat, das im Zertifikatsspeicher des Benutzerkontos abgelegt wird. Ohne dieses Zertifikat, etwa bei versehentlichem Löschen, ist eine Entschlüsselung der Daten nicht mehr möglich.

Schneller verschlüsseln

Eingebaute Windows-Security

In der Praxis ist eine Verschlüsselung auf Ordnerebene ratsam, da dadurch alle Dateien und Unterverzeichnisse, die in einem verschlüsselten Ordner angelegt oder diesem hinzugefügt werden, automatisch verschlüsselt werden. Wechseln Sie mit dem Windows-Explorer zu einem Verzeichnis, dessen Inhalte verschlüsselt werden sollen, klicken mit der rechten Maustaste auf den Ordner und wählen den Befehl Eigenschaften. Im gleichnamigen Dialog klicken Sie im Bereich Attribute auf Erweitert und markieren Inhalt verschlüsseln, um Dateien zu schützen. Im Dialog Änderungen der Attribute bestätigen können Sie die Einstellungen für diesen Ordner, Unterordner und Dateien übernehmen.

Anwender, die Dateien und Ordner regelmäßig verschlüsseln, sollten den entsprechenden Befehl im Kontextmenü der rechten Maustaste verankern. Dazu öffnen Sie Regedit und wechseln zu HKEY_LOCAL_MACHINE\Software\Microsoft\Wind
ws\CurrentVersion\Explorer\Advanced, legen einen neuen DWORD-Wert namens EncryptionContextMenu an und weisen ihm eine 1 zu. Fortan verschlüsseln Sie im Kontextmenü.